acl基本配置(acl配置原则)

[db:作者]

1.ACL-访问控制列表的作用:读取第三层和第四层的报头信息，根据预定义的规则对流量进行筛选和过滤。
第3层报头信息:源IP和目的IP
第4层报头信息:源、目的端口号、TCP/UDP协议
访问列表的调用方向。
传入:流量将进入本地路由器，并由本地路由器处理。
传出:它已被本地路由器处理，流量将离开本地路由器。
策略完成后，入接口调用和出接口调用的区别:如果入接口调用对本地路由器有效，如果出接口调用对本地路由器无效，则流量在数据转发过程中对下一个路由器有效。
二。访问控制列表1的处理原则。路由条目将只匹配一次。
2.ACL访问控制列表中路由条目的匹配顺序是从上到下。
3.ACL访问控制列表意味着拒绝所有4个ACL访问控制列表。必须至少释放一个路由条目。
三。访问控制列表1的类型。标准访问控制列表只能根据源IP地址进行过滤
标准访问控制列表的列表号是2000-2999。通话原则:靠近目标。
2.扩展访问控制列表可以根据源和目的IP地址、TCP/UDP协议、源和目的端口号进行过滤。与标准的访问控制列表相比，流量控制更加精确。
扩展访问控制列表的列表号是3000-3999。呼唤原则:贴近源头。
在AR路由器上用一只手臂发送命令
[]int g0/0/0
撤消关闭
[]int g0/0/0.1
点端接vid10的封装方式为802.1q，G0/0/0.1分为vlan10。
add 192 . 168 . 10 . 124/设置IP和掩码长度
arp广播使能//开启ARP广播功能
[]intg 0/0/0.2 otlg终端vid 20
ip地址192.168.20.1 24
arp广播启用
标准访问控制列表acl 2000创建一个列表编号为2000的标准访问控制列表。
规则Denysource 192.168.10.0.0.0.255拒绝192.168.10.0网段(子网掩码是通配符掩码规则permit source any每个语句的行号间隔5接口调用列表释放其他路由条目的默认ACL。
整数g0/0/0.2
出站-出站接口
入站接口
流量过滤出站/入站ACL 2000选择在出站/入站接口上调用list 2000以扩展访问控制列表。
acl编号3000
规则拒绝tcp源192。168.10.10 0.0.0.0
目的地202.10.100.100 0 . 0 . 0目的地端口EQ21/FTP//PC1被禁止访问FTP服务
规则允许TCP目标端口eq FTP/允许其他客户端访问FTP服务。
规则允许ip//通过其他客户端的网络流量。
int G0/0/0.1流量过滤器入站acl 3000
四。实际运行拓扑图
第一步是实现全网互通。
第2层交换机
第一台路由器
第二台路由器
可以先ping一下。
客户端也可以在这里上传下载。
第二步是扩展访问列表
测试vlan10是否仍能连接到服务器
总结：ACL配置的时候需要首先全网互通，互通以后再操作ACL策略的设置